Chương trình này mang lại giá trị gì cho nhà phát triển?
Việc thường xuyên kiểm thử bảo mật cho ứng dụng có thể giúp bạn xác định các lỗ hổng chính trong ứng dụng và giảm trách nhiệm pháp lý trong tương lai. Google Play sẽ cho phép những nhà phát triển đã trải qua quy trình xác thực độc lập trưng bày thông tin này trên Biểu mẫu An toàn dữ liệu.
Lợi ích đối với người dùng là gì?
Người dùng có thể yên tâm rằng các ứng dụng đã được các chuyên gia bên ngoài kiểm tra kỹ lưỡng và có độ tin cậy cao hơn về sự an toàn / bảo mật của các sản phẩm đó.
Những loại ứng dụng nào áp dụng được cho chương trình này?
OWASP MASVS áp dụng cho mọi ứng dụng di động. Điều này bao gồm nhiều danh mục ứng dụng như IoT, thể dục/sức khoẻ, mạng xã hội, thông tin liên lạc, VPN, năng suất và nhiều danh mục khác.
Phạm vi đánh giá là gì?
Phạm vi đánh giá bao gồm bảo mật phía máy khách, xác thực dịch vụ phụ trợ/đám mây và khả năng kết nối với dịch vụ phụ trợ/đám mây, xem xét các biện pháp bảo mật chung và một số phương pháp hay nhất về quyền riêng tư.
Quy trình đánh giá này sẽ bao gồm những loại trường hợp kiểm thử nào?
Quy trình đánh giá sẽ xem xét một tập hợp con các yêu cầu MASVS cấp 1 có thể kiểm thử được trên GitHub tại đây.
Chứng chỉ có hiệu lực trong bao lâu?
1 năm. Sau 1 năm, nhà phát triển chịu trách nhiệm chứng nhận lại ứng dụng của mình.
MASA cung cấp những mức độ đảm bảo nào và chúng khác nhau như thế nào?
MASA cung cấp hai cấp độ đảm bảo: AL1, một bài tự đánh giá bằng quy trình quét APK và bảng câu hỏi, và AL2, một quy trình đánh giá toàn diện trong phòng thí nghiệm bằng quy trình phân tích tĩnh và động để ứng dụng của bạn nhận được huy hiệu "Đánh giá bảo mật độc lập" trong Cửa hàng Play.
Chi phí là bao nhiêu?
Phí sẽ khác nhau tuỳ thuộc vào đối tác phòng thí nghiệm, nhưng trung bình, bạn có thể dự kiến chi phí đánh giá sẽ dao động từ 3.000 đến 6.000 đô la Mỹ đối với AL2 và 500 đô la Mỹ đối với AL1.
Quy trình này mất bao lâu?
Sau khi hoàn tất giấy tờ cần thiết, bạn có thể nhận được đánh giá của phòng thí nghiệm trong vòng 10 ngày. Khung thời gian hoàn thành có thể khác nhau tuỳ thuộc vào phản hồi của phòng thí nghiệm và khả năng của nhóm bạn trong việc triển khai nhanh các thay đổi.
Đối tác của phòng thí nghiệm là ai?
Google đã đưa một nhóm các phòng thí nghiệm được uỷ quyền vào để thực hiện các hoạt động đánh giá ứng dụng. Tất cả phòng thí nghiệm được uỷ quyền đều cung cấp dịch vụ kiểm thử bảo mật toàn diện và cung cấp cho nhà phát triển phương thức để nhận chứng chỉ theo các tiêu chuẩn đã công bố.
Làm cách nào để bắt đầu?
Nhà phát triển có cơ hội làm việc trực tiếp với một Phòng thí nghiệm được uỷ quyền để bắt đầu quy trình kiểm thử. Mọi khoản phí hoặc thủ tục giấy tờ cần thiết đều sẽ được xử lý trực tiếp giữa phòng thí nghiệm và nhà phát triển.
Tôi có thể gửi bài kiểm thử của riêng mình / sử dụng một phòng thí nghiệm khác không?
Hiện tại, chúng tôi chỉ chấp nhận kết quả đánh giá của các đối tác phòng thí nghiệm được MASA uỷ quyền.
Đối thủ của tôi có thấy kết quả thử nghiệm của tôi không? Kết quả kiểm tra của tôi có được công khai không?
Kết quả kiểm thử ban đầu sẽ chỉ được chia sẻ với nhóm của bạn. Sau khi ứng dụng đáp ứng tất cả các yêu cầu, phòng thí nghiệm sẽ gửi bản tóm tắt báo cáo cho Google. Bản tóm tắt này sẽ được công bố công khai trên thư mục MASA sắp ra mắt. Bản tóm tắt báo cáo chỉ giới hạn trong phạm vi kiểm thử và không bao gồm bất kỳ phát hiện nhạy cảm nào liên quan đến ứng dụng của bạn. Bạn có toàn quyền kiểm soát thời điểm công khai những kết quả này.
Có cách nào để giới thiệu điều này trên trang thông tin của chúng tôi trên Google Play không?
Cách chính để người dùng thấy được thông tin này là thông qua huy hiệu bảo mật trong mục An toàn dữ liệu. Lựa chọn này chỉ dành cho các ứng dụng đã hoàn tất quy trình đánh giá AL2. Chúng tôi đang tìm hiểu cách giới thiệu thông tin này cho nhiều người dùng hơn trên Play.
Mất bao lâu để kết quả xuất hiện trên nhãn An toàn dữ liệu?
Sau khi bạn cập nhật mục An toàn dữ liệu để cho biết ứng dụng của bạn đã "được xác thực một cách độc lập", nhãn An toàn dữ liệu sẽ hiển thị trạng thái này trong vòng một tuần.
Làm cách nào để tham chiếu đến chương trình này bên ngoài?
Những nhà phát triển đã hoàn tất quy trình chứng nhận có thể cho biết rằng họ đã được xác thực độc lập thông qua App Defense Alliance
Nhà phát triển có phải được chứng nhận lại cho mỗi bản cập nhật hoặc bản phát hành ứng dụng không?
Không, chứng nhận MASA được cấp hằng năm và là một hình thức đánh giá tại một thời điểm. Nhà phát triển nên tiếp tục duy trì việc tuân thủ thông qua các quy trình đánh giá nội bộ trong vòng đời phát triển tính bảo mật.
Ai sẽ theo dõi các yêu cầu về việc chứng nhận lại hằng năm cho những ứng dụng này và ai sẽ thông báo cho nhà phát triển khi chứng chỉ của họ hết hạn?
Nhà phát triển có trách nhiệm duy trì tính hợp lệ của chứng chỉ.
Google có quyền truy cập vào kết quả hoặc phát hiện nào của phòng thí nghiệm không?
Google chỉ nhận được báo cáo xác thực từ các đối tác Phòng thí nghiệm được uỷ quyền cho biết ứng dụng có đáp ứng các yêu cầu hay không. Không có mã ứng dụng, kết quả quét hoặc phát hiện lỗ hổng nào được chia sẻ hoặc tiết lộ cho Google trong quá trình xác minh.
Nếu tôi không đồng ý với kết quả đánh giá / kết quả kiểm tra của phòng thí nghiệm thì sao?
Các hoạt động đánh giá theo MASA do các phòng thí nghiệm được uỷ quyền của bên thứ ba thực hiện. Nếu không đồng ý với kết quả đánh giá hoặc có câu hỏi về trạng thái tuân thủ, bạn có thể khiếu nại trực tiếp với phòng thí nghiệm đã bắt đầu kiểm thử ứng dụng của bạn.
Nếu đây là lần đầu tiên tôi phát hành ứng dụng thì sao?
Nhà phát triển có thể gửi bản dựng trước khi phát hành cho phòng thí nghiệm để thử nghiệm sớm, nhưng phiên bản cuối cùng, được chứng nhận phải là tệp APK chính thức được phát hành trên Cửa hàng Google Play.
Phòng thí nghiệm có thể xem xét ứng dụng của tôi nếu ứng dụng đó bị làm rối mã nguồn không?
Việc làm rối mã nguồn có thể khiến các công cụ kiểm thử trong phòng thí nghiệm khó đánh giá ứng dụng của bạn. Trong những trường hợp này, bạn có thể phải gửi thêm tài sản cho các phòng thí nghiệm để hỗ trợ việc kiểm thử và có thể phải trả thêm phí.